อัปเดตใบรับรอง TLS สําหรับ Private Cloud

คุณกำลังดูเอกสารประกอบ Apigee Edge
ไปที่ เอกสารประกอบเกี่ยวกับ Apigee X. ข้อมูล

วิธีการที่คุณใช้ในการระบุชื่อของคีย์สโตร์และ Truststore ในโฮสต์เสมือน หรือปลายทาง/เซิร์ฟเวอร์เป้าหมายเป้าหมายจะกำหนดวิธีที่คุณอัปเดตใบรับรอง คุณสามารถระบุ ชื่อของคีย์สโตร์และ Truststore โดยใช้ข้อมูลต่อไปนี้

  • ข้อมูลอ้างอิง - แนะนำ
  • ชื่อโดยตรง
  • ตัวแปรโฟลว์

วิธีการแต่ละวิธีให้ผลกระทบที่แตกต่างกันต่อกระบวนการอัปเดตใบรับรองตามที่อธิบายไว้ใน ตารางต่อไปนี้

ประเภทการกำหนดค่า วิธีอัปเดต/แทนที่ใบรับรอง วิธีอัปเดตโฮสต์เสมือน เซิร์ฟเวอร์ปลายทาง/เซิร์ฟเวอร์เป้าหมาย
ข้อมูลอ้างอิง (แนะนำ) สำหรับคีย์สโตร์ ให้สร้างคีย์สโตร์ใหม่ด้วยชื่อใหม่และชื่อแทนที่มี ชื่อเดียวกันกับชื่อแทนเดิม

สำหรับ Truststore ให้สร้าง Truststore ด้วยชื่อใหม่

 อัปเดตการอ้างอิงเป็นคีย์สโตร์หรือ Truststore

ไม่จำเป็นต้องรีสตาร์ทเราเตอร์หรือ Message Processor
ตัวแปรโฟลว์ (ปลายทางเป้าหมายเท่านั้น) สำหรับคีย์สโตร์ ให้สร้างคีย์สโตร์ใหม่ด้วยชื่อใหม่และชื่อแทนที่มี ชื่อเดิมหรือใช้ชื่อใหม่

สำหรับ Truststore ให้สร้าง Truststore ด้วยชื่อใหม่

 ส่งตัวแปรโฟลว์ที่อัปเดตในคำขอแต่ละรายการด้วยชื่อของคีย์สโตร์ ชื่อแทน หรือ Truststore

ไม่จำเป็นต้องรีสตาร์ทเราเตอร์หรือ Message Processor
โดยตรง สร้างคีย์สโตร์ ชื่อแทน และ Truststore ใหม่ อัปเดตโฮสต์เสมือนและรีสตาร์ทเราเตอร์

หากเซิร์ฟเวอร์ปลายทาง/ปลายทางใช้ Truststore ให้เปิดใช้งานพร็อกซีอีกครั้ง
โดยตรง ลบคีย์สโตร์หรือ Truststore แล้วสร้างใหม่ด้วยชื่อเดียวกัน ไม่จำเป็นต้องอัปเดตโฮสต์เสมือน ไม่จำเป็นต้องรีสตาร์ทเราเตอร์ แต่คำขอ API ล้มเหลว จนกว่าจะมีการตั้งค่าคีย์สโตร์และชื่อแทนใหม่

หากใช้คีย์สโตร์สำหรับ TLS แบบ 2 ทางระหว่าง Edge และบริการแบ็กเอนด์ ให้รีสตาร์ท Message Processor
โดยตรง สำหรับ Truststore เท่านั้น ให้อัปโหลดใบรับรองใหม่ไปยัง Truststore หากโฮสต์เสมือนใช้ Truststore ให้รีสตาร์ทเราเตอร์

หากเซิร์ฟเวอร์ปลายทาง/เป้าหมายใช้ Truststore ให้รีสตาร์ทข้อความ ผู้ประมวลผลข้อมูล

การทดสอบใบรับรองก่อนและหลัง อัปเดต

ใช้คำสั่ง openssl ต่อไปนี้เพื่อทดสอบใบรับรองปัจจุบันก่อนอัปเดต ดังนี้

echo | openssl s_client -servername hostAlias -connect hostAlias.apigee.net:443 2>/dev/null | openssl x509 -noout -dates -subject

โดยที่ hostAlias คือชื่อแทนของโฮสต์ของโฮสต์เสมือนหรือที่อยู่ IP เช่น

echo | openssl s_client -servername api.myCompany.com -connect api.myCompany.com:443 2>/dev/null | openssl x509 -noout -dates -subject

คุณควรเห็นผลลัพธ์ในแบบฟอร์ม:

notBefore=Dec 30 22:11:38 2015 GMT
notAfter=Dec 30 22:11:38 2016 GMT
subject= /OU=Domain Control Validated/CN=*.apigee.net

ใช้คำสั่งเดียวกันหลังจากที่คุณอัปเดตใบรับรองเพื่อทดสอบ

อัปเดตใบรับรอง TLS ในคีย์สโตร์

สำหรับการติดตั้งใช้งาน Edge ภายในองค์กร

  1. สร้างคีย์สโตร์ใหม่และอัปโหลดใบรับรองและคีย์ตามที่อธิบายไว้ใน Keystores และ Truststore ในคีย์สโตร์ใหม่ โปรดตรวจสอบว่าคุณใช้ชื่อเดียวกันกับชื่อแทนคีย์ที่ใช้ใน แหล่งเก็บคีย์ที่มีอยู่

    หมายเหตุ: คุณสามารถลบคีย์สโตร์ปัจจุบันและสร้างคีย์สโตร์ใหม่ได้ด้วย ชื่อและชื่อแทน ไม่จำเป็นต้องรีสตาร์ทเราเตอร์ แต่คำขอ API จะไม่สำเร็จจนกว่าจะได้คีย์สโตร์ใหม่ มีการตั้งค่าอีเมลแทนแล้ว
  2. สำหรับโฮสต์เสมือนที่การเชื่อมต่อขาเข้าใช้ ซึ่งหมายถึงคำขอ API ลงใน Edge:
    1. หากโฮสต์เสมือนของคุณใช้การอ้างอิงไปยังคีย์สโตร์ ให้อัปเดตข้อมูลอ้างอิงเป็น ตามที่อธิบายไว้ในการทำงาน พร้อมการอ้างอิง
    2. หากโฮสต์เสมือนของคุณใช้ชื่อโดยตรงของคีย์สโตร์ ให้ทำดังนี้
      1. อัปเดตโฮสต์เสมือนที่อ้างอิงคีย์สโตร์และชื่อแทนคีย์เก่าเป็น อ้างอิงคีย์สโตร์และชื่อแทนคีย์ใหม่
      2. รีสตาร์ทเราเตอร์ทีละตัว โปรดทราบว่าหากคุณลบคีย์สโตร์เก่าและ สร้างคีย์สโตร์ใหม่โดยใช้ชื่อเดียวกัน จากนั้นไม่จำเป็นต้องรีสตาร์ทเราเตอร์

        ไม่จำเป็นต้องทำให้พร็อกซีใช้งานได้อีกครั้ง
  3. สำหรับปลายทาง/เซิร์ฟเวอร์เป้าหมายเป้าหมายที่การเชื่อมต่อขาออกใช้ ซึ่งหมายความว่า จาก Apigee ไปยังเซิร์ฟเวอร์แบ็กเอนด์ได้ดังนี้
    1. หากเซิร์ฟเวอร์ปลายทาง/เซิร์ฟเวอร์เป้าหมายใช้การอ้างอิงไปยังคีย์สโตร์ ให้อัปเดต ตามที่อธิบายไว้ในหัวข้อการทำงานกับข้อมูลอ้างอิง ไม่จำเป็นต้องทำให้พร็อกซีใช้งานได้ใหม่
    2. หากเซิร์ฟเวอร์ปลายทาง/เซิร์ฟเวอร์เป้าหมายใช้ตัวแปรโฟลว์ ให้อัปเดตตัวแปรโฟลว์ ยังไม่ได้ติดต่อ จำเป็นต้องทำให้พร็อกซีใช้งานได้ใหม่
    3. หากปลายทาง/เซิร์ฟเวอร์เป้าหมายเป้าหมายใช้ชื่อโดยตรงของคีย์สโตร์ ให้ทำดังนี้
      1. อัปเดตการกำหนดค่าเซิร์ฟเวอร์ปลายทาง/เป้าหมายสำหรับพร็อกซี API ที่ อ้างอิงคีย์สโตร์และชื่อแทนคีย์เก่าเพื่ออ้างอิงคีย์สโตร์และคีย์ใหม่ ชื่อแทน
      2. สำหรับพร็อกซี API ที่อ้างอิงคีย์สโตร์จากคำจำกัดความ TargetEndpoint คุณต้องทำให้พร็อกซีใช้งานได้อีกครั้ง

        หาก TargetEndpoint อ้างอิงถึงคำจำกัดความของ TargetServer และ TargetServer จะอ้างอิงคีย์สโตร์ จากนั้นจึงไม่จำเป็นต้องทำให้พร็อกซีใช้งานได้ใหม่
      3. หากใช้คีย์สโตร์สำหรับ TLS แบบ 2 ทางระหว่าง Edge กับบริการแบ็กเอนด์ และ คุณลบ/สร้างคีย์สโตร์ที่มีชื่อเดียวกันไปแล้ว คุณจะต้องรีสตาร์ท Edge ตัวประมวลผลข้อความ
  4. หลังจากที่คุณยืนยันว่าคีย์สโตร์ใหม่ทำงานอย่างถูกต้องแล้ว ให้ลบคีย์สโตร์เก่า คีย์สโตร์ที่มีใบรับรองและคีย์ที่หมดอายุแล้วตามที่อธิบายไว้ข้างต้น

อัปเดตใบรับรอง TLS ใน Truststore

หากคุณใช้การอ้างอิง Truststore กระบวนการอัปเดตใบรับรองใน Truststore จะเหมือนกับคีย์สโตร์ดังที่แสดงด้านบน ความแตกต่างเพียงอย่างเดียวมีดังนี้

  • เมื่อคุณอัปโหลดใบรับรองใหม่ไปยัง Truststore ใหม่ ชื่อแทนนั้นไม่มีความสำคัญสำหรับ Truststores
  • หากใบรับรองเป็นส่วนหนึ่งของชุด คุณจะต้องสร้างไฟล์เดียวที่มีใบรับรอง และอัปโหลดไฟล์นั้นไปยังชื่อแทนเดียว หรืออัปโหลดใบรับรองทั้งหมดในเชนแยกกันเพื่อ Truststore โดยใช้ชื่อแทนที่แตกต่างกันสำหรับใบรับรองแต่ละรายการ

หากคุณใช้ชื่อโดยตรงของคีย์สโตร์และ Truststore ของคุณ ให้ทำดังนี้

  1. อัปโหลดใบรับรองใหม่ไปยัง Truststore ตามที่อธิบายไว้ใน Keystores และ Truststore โดยไม่จำเป็นต้องลบใบรับรองเก่า
  2. สำหรับโฮสต์เสมือนที่การเชื่อมต่อขาเข้าใช้ ซึ่งหมายถึงคำขอ API ใน Edge แล้วรีสตาร์ทเราเตอร์ทีละตัว
  3. สำหรับปลายทาง/เซิร์ฟเวอร์เป้าหมายเป้าหมายที่ใช้โดยการเชื่อมต่อขาออก ซึ่งหมายถึงจาก Apigee ไปยังเซิร์ฟเวอร์แบ็กเอนด์ ให้รีสตาร์ท Edge Message Processor ทีละ 1 หน่วย
  4. ยืนยันว่า Truststore ใหม่ของคุณทำงานได้อย่างถูกต้อง